Lorsque j'ai commencé mes premiers dossiers de diagnostic cybersécurité en PME, je suis parti confiant, armé de mon expérience, de mes check-lists et renforcé par la force des méthodes. In-vin-ci-ble.

Dès la première mission, j'ai commencé à douter de mes belles certitudes. D'abord en recensant les interlocuteurs. Ou plutôt les deux interlocuteurs.

Parce que d'un coté j'ai échangé avec un dirigeant qui cumulait des tonnes de fonctions (gérant, chef du personnel, responsable de la stratégie et chef de projet) et de l'autre avec une personne qui cumulait ... tout le reste (responsable commercial, comptable, informaticien du quotidien, responsable du choix des solutions).

Deux personnes qui fonctionnaient (et fonctionnent toujours !) en mode "chef d'orchestre équilibriste". Avec beaucoup de succès mais peu de temps.

Mon joli plan en prenait de suite un coup. Idem avec la profondeur des réponses que j'allais pouvoir obtenir. On ne peut décemment pas demander à un chef d'entreprise de donner des détails de configuration ou des schémas d'architecture. Et les jolies méthodes qui impliquent des échanges dans une organisation "riche en postes" fonctionnaient moins bien.

Évidemment on pense pouvoir se tourner vers ceux qui ont vendu les différents outils et prestations, mais je vais briser le rêve de suite : personne ne documente grand chose, et certainement pas hors du périmètre d'intervention.

Bref, il a fallu rapidement adopter une approche agile. Retrousser les manches et se salir les mains. Au sens propre d'ailleurs : je me souviens de la mission "suivi de câble" pour aller retrouver ce routeur posé ... dans le faux plafond (personne n'a su ou voulu donner la raison du choix de cet emplacement).

Je résume l'état des lieux de départ, pour ceux qui ne suivent pas :

1. On ne sait pas grand chose de l'architecture.
2. On ne sait pas grand chose des configurations.
3. Il y a peu d'interlocuteurs, et ils manquent cruellement de temps.
4. Si une documentation existe, elle est introuvable.
5. La majorité de la connaissance est en "tradition orale".

Ça pourrait en déprimer certains, qui ont besoin d'un cadre très normé.

Personnellement j'y prends un plaisir énorme !

D'abord parce que c'est l'occasion de prendre de la distance avec les "pratiques idéales" et les méthodologies qui trouvent leurs limites.

Oui, on se doit de pousser les bonnes pratiques, ce n'est pas discutable, mais en ne perdant JAMAIS de vue le contexte et la réalité de ces clients.

Ensuite parce que ça force à utiliser un vocabulaire accessible et à traduire les concepts le plus clairement possible. En bref, ne pas utiliser les acronymes qu'on manipule chaque jour sans plus savoir ce qu'ils veulent dire.

C'est aussi la conscience que chaque élément doit être encore plus argumenté et que chaque question doit être particulièrement pesée.

Et tant mieux !

Parce que c'est une magnifique opportunité pour se concentrer sur l'essentiel et effectuer un travail de sensibilisation directement avec les personnes les plus à même de pousser le changement.

L'évaluation des mesures techniques est rarement un gros sujet. D'abord parce que dans ce genre de cas, les architectures sont souvent simples (trop ! ), la gestion des droits est minimaliste, et les solutions de protection ou de sauvegarde très perfectibles.

Le manque de connaissances techniques des personnes est largement compensé par la profondeur de leurs connaissances sur ce qui est le plus important pour eux : leur cœur de métier. 

Ne pensez pas que les PME ne se sentent pas concernées par le sujet cyber. Elles savent parfaitement que c'est un sujet important et qui fait peser un risque énorme. C'est juste que souvent, elles ne savent pas par où commencer.

Pire, leur plus grande peur n'est pas le risque cyber, c'est parfois la peur de se faire avoir par les consultants et fournisseurs (Merci à Yves qui me l'a avoué). Un comble, oui, mais la faute n'est pas du coté client (on en reparlera).

Et je n'oublie pas le maillon fort des PME : les employés, qui ne demandent qu'à apprendre pour renforcer le niveau de défense. Eux aussi sont conscients et hyper motivés. A condition, à nouveau, de créer les bonnes conditions.

De fait, la notion de priorisation devient rapidement un fil rouge à ne jamais perdre de vue. Votre intervention est déjà vue comme un investissement conséquent, et les moyens pour corriger les problèmes ne sont pas illimités.

Il faut donc, plus encore qu'avec d'autres structures, penser effort, budget, et retour sur investissement pour la moindre ligne de préconisation.

Penser aussi à clarifier les contraintes réglementaires qui sont mal maitrisées (je pense au RGPD) ou carrément pas identifiées.

Idéalement, il faut aussi savoir "sortir du cadre" en donnant des pistes de financement et d'accompagnement. Les PME ne connaissent pas certaines aides alors que ça peut faire toute la différence entre l'idée et l'application. 

En PME plus qu'ailleurs, le devoir du consultant est de rester pragmatique et faire preuve de beaucoup de clarté dans ses explications. Il faut quantifier, chiffrer, argumenter, pour arriver avec des définition de risques qui parlent à tous ET se convertissent en impacts financiers.

Attention juste à ne pas confondre "animation" et "pilotage". Parce qu'on doit absolument ne pas tomber dans le piège qui consisterait à prendre le volant et laisser tout le monde dans un rôle de spectateur plus très motivé.

Quand on rend les choses accessibles et que tout le monde a le sentiment de faire partie de la solution, parler de plans et de choix devient alors bien plus facile. Parce que tout le monde comprend alors les enjeux. Et qui mieux que les dirigeants pour engager les sujets autour de la continuité et de la reprise d'activité ?

Vous savez que vous y arrivez quand, à la fin de la mission, vos clients vous remercient et disant "maintenant je sais quoi faire, pourquoi et comment".

A ce moment là, vous savez que vous avez choisi la bonne voie 😊

N'hésitez pas à me contacter pour échanger sur ce sujet.